1.规划拓扑图
2.合理配置IP地址
3.如图规划VLAN信息,PC1/PC2/PC3属于VLAN123,AR1属于VLAN111
4.需要合理配置MSTP,ETH-TRUNK,VRRP使网络达到最佳可用性
5.配置动态路由协议,使全网互通,私有地址不允许出现在ISP中
要求:AR3不允许配置任何路由
6.将PC5配置成DHCP服务器,所有的PC都需要通过DHCP自动获取地址。
7.在AR3上配置telnet功能,使AR1可以使用huawei/123456登陆到AR1上进行远程管理
8.只允许AR1 TELNET到AR3,其余所有设备都不能TELNET到AR3
首先配置vlan 111 和123 然后划分两个网段 10.1.1.0 /24 20.1.1.0 /24 lsw1 配置自己的ip地址 vlan111 是20.1.1.252 vlan123 为 10.1.1.252 。 lsw2 vlan111 20.1.1.253 vlan 123 为10.1.1.253 。虚拟网关分别是 10.1.1.254 20.1.1.254 。
路由器上面的接口ip 我没有演示。
interface GigabitEthernet0/0/3 # 进入接口
port link-type trunk # 配置接口模式
port trunk allow-pass vlan 111 123
interface GigabitEthernet0/0/4
port link-type trunk
interface GigabitEthernet0/0/5
port link-type trunk
配置ospf的时候 需要在再划分一个vlan 我这里用vlan 1 为了给5 口配置ip地址
interface Vlanif1
ip address 40.1.1.2 255.255.255.0
配置lacp
port trunk allow-pass vlan 111 123
interface Eth-Trunk 1 #将物理接口绑定到eth-trunk中
mode lacp-static # 模式lacp-static
trunkport GigabitEthernet 0/0/1 0/0/3 # 将两个接口变成一个接口
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 111 123
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 111 123
interface GigabitEthernet0/0/3
port link-type access
port default vlan 111
interface GigabitEthernet0/0/4
port link-type access
port default vlan 123
stp region-configuration
region-name huawei
revision-level 2021
instance 1 vlan 111
instance 2 vlan 123
active region-configuration # 不打这一句配置就没有写进去
quit
stp mode mstp
stp instance 1 root primary #在第一个交换机里面是主根
stp instance 2 root secondary # 在第二个交换机是备跟
stp instance 2 root primary # 在第二个交换机是主
stp instance 1 root secondary # 在第一个交换机是备
lsw1
interface Vlanif111
ip address 20.1.1.253 255.255.255.0
vrrp vrid 111 virtual-ip 20.1.1.254 # 这是vlan 111 的虚拟网关
interface Vlanif123
ip address 10.1.1.253 255.255.255.0
vrrp vrid 123 virtual-ip 10.1.1.254 # 这是vlan 123 的虚拟网关
lsw2
interface Vlanif111
ip address 20.1.1.252 255.255.255.0
vrrp vrid 111 virtual-ip 20.1.1.254
interface Vlanif123
ip address 10.1.1.252 255.255.255.0
vrrp vrid 123 virtual-ip 10.1.1.254
现在可以测试连通性 ,做完最好测试连通性 方便后面出问题了查错。
ar2 的配置
ospf 10 router-id 2.2.2.2
default-route-advertise always
area 0.0.0.0
network 40.1.1.0 0.0.0.255
network 50.1.1.0 0.0.0.255
退出去
ip route-static 0.0.0.0 0.0.0.0 100.1.1.3 默认路由
lsw1 的配置
ospf 10
area 0.0.0.0
network 40.1.1.0 0.0.0.255
network 10.1.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
lsw2 配置
ospf 10
area 0.0.0.0
network 50.1.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
network 10.1.1.0 0.0.0.255
ar2 的配置
acl number 2000
rule 5 permit source 20.1.1.0 0.0.0.255
rule 10 permit source 10.1.1.0 0.0.0.255
rule 15 permit source 40.1.1.0 0.0.0.255
rule 20 permit source 50.1.1.0 0.0.0.255
interface GigabitEthernet0/0/2
nat outbound 2000
ip address dhcp-alloc
ar3 的配置
interface LoopBack0 // 配置私有地址
ip address 8.8.8.8 255.255.255.255
首先所有设备都要打 dhcp enable // 开启dhcp服务
pc5配置
interface GigabitEthernet0/0/0
ip address 10.1.1.5 255.255.255.0
dhcp select global
ip pool isp
gateway-list 100.1.1.3
network 100.1.1.0 mask 255.255.255.0
dns-list 8.8.8.8
ip pool vlan111
gateway-list 20.1.1.254
network 20.1.1.0 mask 255.255.255.0
dns-list 8.8.8.8
ip pool vlan123
gateway-list 10.1.1.254
network 10.1.1.0 mask 255.255.255.0
excluded-ip-address 10.1.1.252 10.1.1.253
dns-list 8.8.8.8
默认路由
ip route-static 0.0.0.0 0 10.1.1.254
reset ip pool name vlan103 all //重置地址池分配地址的情况
lsw1 配置
interface Vlanif111
dhcp select relay
dhcp relay server-ip 10.1.1.5 // 中继的意思
lsw2 配置
interface Vlanif111
dhcp select relay
dhcp relay server-ip 10.1.1.5
r1 的配置
interface GigabitEthernet0/0/0
ip address dhcp-alloc // 获取ip地址的方式为dhcp
默认路由
ip route-static 0.0.0.0 0.0.0.0 20.1.1.254
ar2 的配置
rule 5 deny icmp source 20.1.1.251 0 destination 100.1.1.3 0
rule 10 deny icmp source 20.1.1.251 0 destination 8.8.8.8 0
rule 15 deny tcp source 10.1.1.5 0 destination 8.8.8.8 0
rule 20 deny tcp source 10.1.1.5 0 destination 100.1.1.3 0
还得去接口里面禁用规则 ar2 1口和2口
acl traffic-filter inbound acl 3000
aaa
local-user huawei password cipher 123456
local-user huawei service-type telnet
local-user huawei privilege level 15
退出aaa
user-interface vty 0 4
authentication-mode password
authentication-mode aaa
按要求所示 ar1 不能ping ar3 但是可以远程登录ar3
pc5 可以ping 8.8.8.8 但是不能telnet ar3
如有错误,请指出,谢谢浏览!!!